Websites SIDN gehackt en besmet met kwaadaardige software

• Door
• Arnout Veenman
• geplaatst op
• 10 juli 2013 08:10 uur

7 reacties

Op verschillende websites van SIDN is ‘kwaadaardige software’ aangetroffen. De websites zijn dus gehackt, zo heeft de stichting bekendgemaakt. Om verdere problemen te voorkomen heeft de stichting vannacht om 1.15 uur besloten de webbased interface van het .nl-domeinregistratiesysteem uit de lucht te halen. Ook is de zonefile update van het .nl-domein tot nader order uitgesteld.

Update 9:45 uur: SIDN (support) meldt op Twitter dat vanaf 8:00 uur vanavond de zonefile update weer wordt gepubliceerd en om 9:00 uur de DRS webinterface weer is opengesteld. Daarnaast zijn de wachtwoorden van de webinterface gebruikers gereset en wordt gebruikers van de EPP-interface ook dringend aangedragen zelf hun wachtwoord te resetten. Ook is de registrarwebsite tijdelijk uitgeschakeld.
Update 11:30 uur: SIDN meldt in een e-mail aan de registrars (zie onderaan dit artikel) dat de hackers ook toegang hadden tot het bestand met de logingegevens voor de registrarsite, de wachtwoorden in dat bestand waren volgens SIDN wel versleuteld.

Opvallend is dat SIDN gisteren al om 11:48 uur bekend maakte aan registrars dat er tijdelijk geen rapportages en facturen konden worden gedownload vanwege een ‘security incident’, om 17:38 maakte SIDN pas melding van de verminderde beschikbaarheid van haar website en pas om 1:15 uur vannacht wordt besloten om de webinterface van het .nl-domeinregistratiesysteem uit de lucht te halen en tijdelijk geen nieuwe .nl-zonefile update meer te publiceren. Het blijft nog wel mogelijk om via de EPP-interface, die de meeste registrars gebruiken, om .nl-domeinnamen te registreren en muteren. SIDN stelt dat de maatregelen van kracht blijven tot het moment dat er voldoende inzicht is in de aard en omvang van het incident.

Door ISPam.nl werd al opgemerkt dat de problemen met de bereikbaarheid van de website van SIDN zich al afgelopen maandagavond vanaf 21:00 uur voordeden, terwijl we bezig waren met research voor een ander artikel. Pagina’s van de website laadde op dat moment al traag of niet en het downloaden van onder meer jaarverslagen van de website, resulteerde in veel gevallen in een ‘internal server error’. Het lijkt er op dat het feitelijke security-incident dus al is ontstaan, ruim voordat SIDN het in de gaten kreeg of in ieder geval voordat SIDN er publiekelijk melding van maakte.

In een e-mail aan de registrars meldt SIDN dat de hackers ook toegang hebben gekregen tot de (versleutelde) wachtwoorden van registrars:

Door de inbraak in één van onze webservers heeft men toegang gekregen tot een bestand met logingegevens voor de registrarssite. Het gaat hier om registrarnummers en de daaraan gekoppelde – versleutelde – wachtwoorden. Met de gegevens in dit bestand is dus nog geen directe toegang tot de registrarssite mogelijk. Omdat we willen uitsluiten dat dit alsnog kan gebeuren zijn bovenstaande maatregelen noodzakelijk.

Zodra er meer informatie beschikbaar is, wordt dit artikel aangevuld.